Bezpieczeństwo danych i RODO
Bezpieczeństwo danych i RODO
Kluczowym aspektem jest rozróżnienie między bezpieczeństwem danych hostowanych przez klienta a bezpieczeństwem infrastruktur, na których są one hostowane.
Bezpieczeństwo danych hostowanych przez klienta: klient jest jako jedyny odpowiedzialny za zapewnienie bezpieczeństwa swoich zasobów oraz systemów aplikacji, które rozwija przy wykorzystaniu usług OVH. OVH udostępnia klientowi narzędzia umożliwiające zabezpieczenie danych.
Bezpieczeństwo infrastruktur: OVH gwarantuje optymalne bezpieczeństwo infrastruktur, w szczególności poprzez wdrażanie polityki bezpieczeństwa systemów informacyjnych oraz spełnianie wymagań poszczególnych norm i certyfikacji (certyfikacja PCI-DSS, certyfikacja ISO/IEC 27001, atesty SOC 1 TYPE II i SOC 2 TYPE II, etc.). OVH posiada również, w przypadku swojej oferty Healthcare, zezwolenie na hostowanie danych medycznych (HDS).
Lista wszystkich certyfikatów wraz z ich opisem dostępna jest tutaj.
Bezpieczeństwo infrastruktur:
OVH wdraża środki bezpieczeństwa mające na celu zapewnienie ochrony i poufności przetwarzanych danych osobowych. W ten sposób zapobiega ich zniekształceniu i uszkodzeniu oraz uniemożliwia nieupoważnionym osobom trzecim dostęp do tych danych.
Zobowiązania OVH z zakresie bezpieczeństwa
- System zarządzania bezpieczeństwem
- Zgodność i certyfikacja
- Audyty realizowane przez klienta
- Zarządzanie sytuacjami związanymi z ryzykiem
- Zarządzanie zmianami
- Polityka rozwoju systemów i aplikacji
- Monitoring usług i infrastruktur
- Zarządzanie incydentami
- Zarządzanie podatnościami
- Zarządzanie ciągłością działania
- Zagrożenia naturalne i środowiskowe
- Ogólne środki bezpieczeństwa w obiektach fizycznych
- Ogólne środki bezpieczeństwa w obiektach fizycznych
- Dostęp do obiektów OVH
- Zarządzenie dostępem do poszczególnych stref
- Zarządzanie fizycznym dostępem osób trzecich
- Podnoszenie świadomości i szkolenie pracowników
- Kontrola logicznego dostępu do systemów informacyjnych OVH
- Zarządzanie dostępem personelu administracyjnego do platform produkcyjnych
- Kontrola dostępu do Panelu klienta
- Bezpieczeństwo stanowisk pracy i bezpieczeństwo sprzętu mobilnego
- Bezpieczeństwo sieci
- Zarządzanie ciągłością działania
- Prowadzenie rejestrów
1. System zarządzania bezpieczeństwem
Zobowiązania OVH jako dostawcy hostingu:
Opracowaliśmy własną politykę bezpieczeństwa systemów informacyjnych (PBSI), opisującą ogół wprowadzonych przez nas rozwiązań w tym zakresie. Nasza polityka PBSI aktualizowana jest przynajmniej raz w roku lub w przypadku pojawienia się istotnych zmian mających wpływ na jej zawartość. Bezpieczeństwo naszych rozwiązań jest kontrolowane w ramach formalnych systemów zarządzania bezpieczeństwem informacji.
Działania zmierzające do zapewnienia ochrony obwodowej są koordynowane przez konkretne osoby:
- IT System Security Manager (ISSM);
- Security Manager, odpowiedzialny za procedury i projekty związane z ochroną obwodową;
- Data Protection Officer (DPO), który odpowiada za ochronę danych osobowych;
- Risk Manager, koordynujący zarządzanie ryzykiem w zakresie bezpieczeństwa oraz powiązanymi planami działań;
- Security Measures Manager, który wdraża i wykorzystuje stosowne mechanizmy w związku ze zidentyfikowanymi zagrożeniami.
2. Zgodność i certyfikacja
Zobowiązania OVH jako dostawcy hostingu:
Aby utrzymać wymagany poziom zgodności i ocenić wydajność naszych systemów, regularnie przeprowadzane są audyty bezpieczeństwa. Wyróżniamy pięć ich rodzajów:
- Audyty zewnętrzne (certyfikaty, zaświadczenia, audyty klientów);
- Audyty wewnętrzne, przeprowadzane przez wewnętrznych lub zewnętrznych audytorów;
- Audyty techniczne (testy penetracyjne, skany podatności, przeglądy kodu) przeprowadzane przez wewnętrznych lub zewnętrznych audytorów;
- Audyty aktywności osób trzecich, przeprowadzane przez osobę odpowiedzialną za zarządzanie osobami trzecimi;
- Audyty centrów danych, przeprowadzane przez audytorów wewnętrznych. Charakter oraz częstotliwość, z jaką przeprowadzane są audyty zależą od rozwiązań i zakresu ochrony obwodowej. Za każdym razem, gdy wykryta zostaje niezgodność, stosowane są wobec niej środki zaradcze, dołączane do planu działań. Wszystkie te środki są śledzone i formalnie monitorowane oraz regularnie kontrolowane w celu ponownej oceny ich skuteczności.
3. Audyty realizowane przez klienta
Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:
Klient może przeprowadzać audyty techniczne (testy penetracyjne) na usługach hostowanych w ramach swojego konta, jak i w odniesieniu do poszczególnych elementów zarządzania usługą. Warunki przeprowadzania audytów spisane są w umowach lub są ustalane na wniosekklienta.
Zobowiązania OVH jako dostawcy hostingu:
Warunki przeprowadzania audytów spisane są w umowach lub są ustalane na wniosekklienta.
4. Zarządzanie sytuacjami związanymi z ryzykiem
Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:
Klient powinien upewnić się, że środki bezpieczeństwa wdrożone przez OVH są adekwatne do rodzaju ryzyka, jakie wiąże się ze sposobem używania przez niego infrastruktury.
Zobowiązania OVH jako dostawcy hostingu:
Została opracowana i wdrożona formalna metodologia zarządzania sytuacjami związanymi z ryzykiem. Jest ona weryfikowana przynajmniej raz w roku lub w przypadku pojawienia się istotnych zmian. Metodologia ta dotyczy również danych osobowych oraz danych wrażliwych (z zakresu zdrowia, płatności, etc.).
Formalizuje przeprowadzone analizy: identyfikację zasobów, krytyczne procesy, zagrożenia i podatności.
Opiera się na normie ISO 27005. Pod koniec każdej analizy sporządzany jest plan działania w stosunku do zidentyfikowanego ryzyka. Jego wdrożenie ma miejsce przed upływem 12 miesięcy. Plan w sposób szczegółowy dokumentuje przeprowadzoną analizę i hierarchizuje działania, jakie należy podjąć. Każdy środek zaradczy dołączony jest do planów działań, kontrolowany i formalnie monitorowany. Ma też miejsce jego regularna weryfikacja w celu ponownej oceny skuteczności.
5. Zarządzanie zmianami
Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:
Klient powinien sprawdzić poprawność swoich danych kontaktowych, aby OVH mogło powiadamiać go o zmianach mogących mieć wpływ na jego usługi. W razie konieczności, do klienta należy wdrożenie niezbędnych działań w zakresie konfiguracji jego usług w celu uwzględnienia tych zmian.
Zobowiązania OVH jako dostawcy hostingu:
Wdrożona została ponadto formalna procedura zarządzania zmianami:
- Role i zakresy odpowiedzialności są jasno zdefiniowane;
- Określone zostały kryteria klasyfikacji służące identyfikacji etapów, jakie należy realizować podczas wprowadzania zmiany;
- Stosowane są zasady zarządzania priorytetami; realizowana jest analiza ryzyka związanego ze zmianami (jeśli ryzyko zostaje zidentyfikowane, Security Manager oraz Risk Manager biorą udział w zatwierdzaniu zmiany);
- Przeprowadzane są ewentualnie testy penetracyjne (jeśli dotyczy); zmiana jest planowana i programowana z klientami (jeśli dotyczy);
- Wdrożenie jest realizowane stopniowo (1/10/100/1000) a, w przypadku ryzyka, przewidziana jest procedura powrotu do poprzedniego stanu;
- Realizowany jest przegląd a posteriori poszczególnych zasobów, których dotyczy zmiana;
- Wszystkie etapy są dokumentowane w narzędziu do zarządzania zmianami.
6. Polityka rozwoju systemów i aplikacji
Zobowiązania OVH jako dostawcy hostingu:
Na użytek programistów OVH wprowadzono stosowne, udokumentowane procedury. Opisują one zasady bezpiecznego rozwoju, środki „privacy by design” oraz politykę przeglądu kodu (wykrywanie podatności, obsługa błędów, zarządzanie dostępem i rekordami, bezpieczeństwo przechowywania i komunikacji).
- Przeprowadzane są również regularnie przeglądy kodu;
- Zatwierdzanie nowych funkcjonalności przed ich wdrożeniem, testy walidacyjne w środowisku (jeśli dotyczy) oraz stopniowe wdra��anie (1/10/100/1000);
- Podział ról i odpowiedzialności programistów oraz osób odpowiedzialnych za produkcję.
7. Monitoring usług i infrastruktur
Zobowiązania OVH jako dostawcy hostingu:
Infrastruktura monitorowania jest wdrażana dla wszystkich usług OVH. Jej cele są różnorodne:
- Wykrywanie awarii związanych z produkcją i bezpieczeństwem;
- Kontrola funkcji krytycznych i wysyłanie komunikatów ostrzegawczych do systemu nadzoru;
- Powiadomienie osób odpowiedzialnych i wszczęcie odpowiednich procedur;
- Zagwarantowanie ciągłości działania usługi w odniesieniu do działań zautomatyzowanych;
- Zapewnienie integralności monitorowanych zasobów.
8. Zarządzanie incydentami
Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:
Klient powinien sprawdzić poprawność swoich danych kontaktowych, aby OVH mogło powiadomić go w przypadku wystąpienia awarii. Musi on również wdrożyć procedury zarządzania awariami mogącymi wystąpić w ramach jego systemu informacyjnego, włączając OVH jako potencjalne źródło zagrożenia.
Zobowiązania OVH jako dostawcy hostingu:
Wdrożony został proces zarządzania awariami pozwalający zapobiegać, wykrywać i radzić sobie z awariami mającymi miejsce w infrastrukturach zarządzania usługą, jak i w ramach samej usługi. Proces ten obejmuje:
- Dokumentację kwalifikacji zdarzeń z zakresu bezpieczeństwa;
- Obsługa zdarzeń z zakresu bezpieczeństwa;
- Ćwiczenia symulacyjne dla komórki kryzysowej;
- Testy planu reakcji na awarie;
- Komunikację z klientami realizowaną przez komórkę kryzysową.
Procesy te podlegają procedurze stałego ulepszania w zakresie nadzoru, ewaluacji, jak również globalnego zarządzania incydentami oraz działaniami naprawczymi.
9. Zarządzanie podatnościami
Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:
Klient powinien sprawdzić poprawność swoich danych kontaktowych, aby OVH mogło powiadamiać go w przypadku wykrycia podatności w jego systemie informacyjnym.
Zobowiązania OVH jako dostawcy hostingu:
Opieka technologiczna w odniesieniu do nowych podatności jest zapewniona przez Security Managera i jego zespół. Podatności identyfikowane są dzięki:
- Informacyjnym stronom WWW;
- Ostrzeżeniom twórców i producentów wdrożonych rozwiązań;
- Incydentom oraz obserwacjom przekazywanym przez zespoły eksploatacyjne OVH, osoby trzecie lub klientów;
- Regularnie przeprowadzanym wewnętrznym i zewnętrznym skanom podatności;
- Audytom technicznym, jak również przeglądom kodu i konfiguracji.
Jeśli podatność zostaje wykryta, dedykowane do tego celu zespoły przeprowadzają analizę mającą na celu określenie jej wpływu na systemy oraz potencjalne scenariusze działań.
W razie konieczności, stosowane są środki łagodzące, a następnie opracowany zostaje plan działań naprawczych.
Każdy wdrożony środek włączany jest do planów działań, kontrolowany i formalnie monitorowany. Ma też miejsce jego regularna weryfikacja w celu ponownego oszacowania skuteczności.
10. Zarządzanie ciągłością działania
Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:
Za ciągłość działania systemu informacyjnego odpowiada klient. Powinien upewnić się, czy standardowe rozwiązania wprowadzone przez OVH oraz wybrane przez klienta opcje i ustawienia dodatkowe pozwalają mu osiągnąć swoje cele.
Zobowiązania OVH jako dostawcy hostingu:
Różnorodne mechanizmy zapewniają ciągłość działania infrastruktur (dostępność sprzętu, aplikacji i procesów eksploatacyjnych):
- Ciągłość działania chłodzenia cieczą i powietrzem;
- Ciągłość i redundancja zasilania elektrycznego;
- Zarządzanie wydajnością sprzętu, za który odpowiada OVH;
- Wsparcie techniczne dla usług;
- Redundancja sprzętu i serwerów używanych do administracji systemów.
Jednocześnie inne mechanizmy, takie jak kopia bezpieczeństwa konfiguracji sieci i urządzeń, zapewniają przywrócenie usługi w przypadku incydentu.
OVH proponuje różne funkcjonalności zapewniające zachowanie kopii zapasowych oraz przywracania usług, których klient może używać jako funkcji włączonych do usługi podstawowej bądź jako opcji płatnych.
11. Zagrożenia naturalne i środowiskowe
Zobowiązania OVH jako dostawcy hostingu:
Wprowadzone zostały środki mające na celu przeciwdziałanie zagrożeniom naturalnym i środowiskowym:
- Instalacja piorunochronów mających ograniczyć działanie fal elektromagnetycznych;
- Lokalizacja pomieszczeń OVH w strefach niezagrożonych powodzią i bez ryzyka sejsmicznego;
- Instalacja zasilaczy awaryjnych (UPS) o stosownej pojemności oraz transformatorów zapasowych z automatycznym przełącznikiem zasilania;
- Automatyczne przełączanie obciążenia na agregaty prądotwórcze o 24-godzinnej wytrzymałości;
- Instalacja systemu chłodzenia serwerów za pomocą cieczy (98% sal serwerowych pozbawionych jest klimatyzatorów);
- Instalacja jednostek do ogrzewania, wentylacji i klimatyzacji (system HVAC) w celu utrzymania stałej temperatury i poziomu wilgotności;
- Zarządzanie systemem wykrywania pożarów (w centrach danych przeprowadzane są co 6 miesięcy ćwiczenia przeciwpożarowe).
12. Ogólne środki bezpieczeństwa w obiektach fizycznych
Zobowiązania OVH jako dostawcy hostingu:
Fizyczny dostęp do obiektów OVH opiera się na ścisłej ochronie obwodowej, aktywnej już od strefy wejścia na teren. Każde pomieszczenie jest odpowiednio sklasyfikowane:
- Strefy prywatne;
- Biura dostępne dla wszystkich pracowników i dla zarejestrowanych odwiedzających;
- Biura pod ścisłym nadzorem, do których dostęp mają tylko określone osoby;
- Strefy, w których mieści się sprzęt centrów danych;
- Strefy pod ścisłym nadzorem w centrach danych;
- Strefy centrów danych, w których zlokalizowane są krytyczne usługi.
13. Ogólne środki bezpieczeństwa w obiektach fizycznych
Zobowiązania OVH jako dostawcy hostingu:
Wprowadzone zostały środki umożliwiające kontrolowanie dostępu do fizycznych obiektów OVH:
- Polityka dotycząca praw dostępu;
- Ściany (lub ich funkcjonalny ekwiwalent) pomiędzy poszczególnymi strefami;
- Kamery zainstalowane w punktach wejścia i wyjścia z obiektu, a także w salach serwerowych;
- Wejścia chronione, kontrolowane za pomocą czytników kart dostępu;
- Bariery z wiązkami laserowymi na parkingach;
- Czujniki ruchu;
- Mechanizmy antywłamaniowe zainstalowane w punktach wejścia i wyjścia z centrów danych;
- Mechanizmy wykrywania obecności (całodobowa ochrona fizyczna oraz monitoring);
- Stałe centrum nadzoru, kontrolujące otwieranie i zamykanie drzwi.
14 Dostęp do obiektów OVH
Zobowiązania OVH jako dostawcy hostingu:
Kontrola fizycznego dostępu opiera się na systemie kart dostępu. Każda karta połączona jest z konkretnym kontem OVH, które z kolei powiązane jest z daną osobą. W ten sposób można zidentyfikować każdą osobę w pomieszczeniach i uwierzytelnić mechanizmy kontroli:
- Każda osoba wchodząca do obiektów OVH musi mieć kartę dostępu z zakodowanymi na niej danymi identyfikacyjnymi;
- Tożsamość osoby musi być za każdym razem sprawdzona przed wydaniem karty dostępu;
- W obiektach OVH każda osoba musi nosić kartę w taki sposób, aby była ona widoczna;
- Na kartach dostępu nie może figurować nazwisko jej posiadacza ani nazwa firmy;
- Karta dostępu musi umożliwiać natychmiastową identyfikację kategorii osoby przebywającej na terenie OVH (pracownik, osoba trzecia, dostęp tymczasowy, gość);
- Karta dostępu jest dezaktywowana natychmiast po tym, gdy jej posiadacz traci prawo dostępu do obiektów OVH;
- Karta dostępu pracownika OVH jest aktywowana na czas trwania umowy o pracę; w przypadku innych kategorii jest automatycznie dezaktywowana po określonym czasie;
- Karta dostępu nieużywana przez okres trzech tygodni jest automatycznie dezaktywowana.
15 Zarządzenie dostępem do poszczególnych stref
Zobowiązania OVH jako dostawcy hostingu:
Dostęp do drzwi przy użyciu karty
Zasady standardowej kontroli dostępu do pomieszczeń OVH:
- Drzwi podłączone są do centralnego systemu zarządzania prawami dostępu;
- Należy zbliżyć kartę do czytnika, aby drzwi zostały odblokowane;
- Prawo dostępu danej osoby jest weryfikowane w momencie odczytu karty przez czytnik;
- W przypadku awarii centralnego systemu zarządzania prawami dostępu uprawnienia skonfigurowane w momencie incydentu są ważne przez cały czas trwania zdarzenia;
- Zamki drzwi są zabezpieczone przed przerwami w dostawie prądu i w takich sytuacjach pozostają zamknięte.
Dostęp do drzwi przy użyciu karty
Niektóre strefy lub urządzenia są zamykane na klucz:
Klucze są przechowywane w scentralizowanych, osobnych dla każdego obiektu miejscach z ograniczonym dostępem, wyposażonych w depozytor;
Każdy klucz jest zidentyfikowany przy pomocy etykietki; • prowadzony jest inwentarz kluczy;
Użycie każdego z kluczy jest śledzone i identyfikowalne za pomocą specjalnego mechanizmu lub papierowego dziennika;
Depozytor kluczy jest codziennie sprawdzany według inwentarza.
Dostęp do centrów danych przez śluzy osobowe
Do centrów danych OVH można wejść wyłącznie przez śluzy osobowe:
Każda śluza wyposażona jest w dwoje drzwi oraz ograniczony obszar pomiędzy punktami kontroli, co gwarantuje przejście tylko jednej osoby na raz;
Jedne drzwi otwierają się wyłącznie w momencie, gdy drugie są zamknięte (ang. mantrap);
Śluzy wykorzystują ten sam system kart dostępu, co pozostałe drzwi i działają na tych samych zasadach;
Mechanizmy wykrywające obecność sprawdzają, czy wewnątrz śluzy przebywa tylko jedna osoba (ang. anti-piggybacking);
System skonfigurowany jest w taki sposób, aby uniemożliwić użycie karty do kilkukrotnego wejścia lub wyjścia (ang. anti-passback);
Umieszczona w pobliżu śluzy kamera monitoruje wchodzące osoby.
Dostęp do pomieszczeń przez śluzy towarowe
- Towary mogą być wprowadzane do centrów danych wyłącznie z wykorzystaniem przeznaczonych w tym celu stref:
- Strefa dostaw jest skonfigurowana w taki sam sposób, jak śluza osobowa, różni się jedynie większą powierzchnią, brakiem kontroli objętości i ciężaru oraz faktem, że czytniki kart dostępu zainstalowane są tylko na zewnątrz;
- Tylko towar przechodzi przez strefę dostaw, osoby muszą przejść przez śluzę osobową;
- W strefie dostawy umieszczona jest kamera bez martwych kątów.
16 Zarządzanie fizycznym dostępem osób trzecich
Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:
OVH nigdy nie interweniuje bezpośrednio u klienta. To klienci odpowiadają za bezpieczeństwo swoich lokali.
Zobowiązania OVH jako dostawcy hostingu:
Poruszanie się osób odwiedzających i okazjonalnie świadczących usługi jest ściśle regulowane. Osoby te są rejestrowane przed wejściem na teren obiektu OVH i otrzymują kartę dostępu dla gościa lub dostawcy:
- Każda wizyta musi być zgłoszona z wyprzedzeniem;
- Za osoby trzecie odpowiedzialny jest pracownik OVH, który zawsze im towarzyszy;
- Tożsamość każdej osoby sprawdzana jest przed wejściem na teren obiektu;
- Każdej osobie trzeciej przydzielona zostaje na jeden dzień osobista karta dostępu, którą osoba ta musi zwrócić przed opuszczeniem obiektu;
- Wszystkie osoby muszą nosić karty dostępu w taki sposób, aby były one widoczne;
- Karty dostępu są automatycznie dezaktywowane po zakończeniu wizyty.
17 Podnoszenie świadomości i szkolenie pracowników
Zobowiązania OVH jako dostawcy hostingu:
Personel OVH jest uświadamiany o istocie bezpieczeństwa i w kwestiach zgodności z normami dotyczącymi przetwarzania danych osobowych:
- Zespoły pracownicze, których te kwestie dotyczą, zostają co roku odpowiednio przeszkolone;
- Co roku odbywają się szkolenia dla danych zespołów pracowniczych dotyczące przeprowadzania audytów;
- Co roku odbywają się szkolenia dla danych zespołów pracowniczych dotyczące usług technicznych;
- W momencie zatrudnienia nowych pracowników organizowane jest szkolenie uwrażliwiające na kwestie związane z bezpieczeństwem systemu informacyjnego (SI);
- Komunikaty związane z bezpieczeństwem są regularnie adresowane do wszystkich pracowników;
- Organizowane są kampanie testowe w celu upewnienia się, że wszyscy pracownicy reagują w sposób adekwatny w sytuacji zagrożenia.
18 Kontrola logicznego dostępu do systemów informacyjnych OVH
Zobowiązania OVH jako dostawcy hostingu:
Wdrożona została rygorystyczna polityka zarządzania logicznymi dostępami pracowników OVH:
- Uprawnienia są przyznawane i monitorowane przez menadżerów zgodnie z zasadą najmniejszego uprzywilejowania oraz zasadą stopniowego zdobywania zaufania;
- Wszystkie uprawnienia są w miarę możliwości przypisywane do pełnionych ról, a nie indywidualnych osób;
- Zarządzanie prawami dostępu oraz uprawnieniami przypisanymi do użytkownika lub systemu realizowane jest w oparciu o procedurę rejestracji, modyfikacji i anulacji, która to procedura obowiązuje menadżerów, wewnętrzny dział IT oraz dział HR;
- Wszyscy pracownicy posługują się kontami imiennymi;
- Sesje połączenia zawsze mają określony czas wygaśnięcia, który zależy od każdej aplikacji;
- Tożsamość użytkowników jest weryfikowana przed każdą zmianą w metodach uwierzytelnienia;
- W przypadku utraty hasła przez pracownika, tylko jego przełożony oraz Security Manager są uprawnieni do zresetowania hasła;
- Konta użytkowników są automatycznie dezaktywowane, jeśli hasło nie zostanie odnowione po 90 dniach;
- Używanie kont domyślnych, ogólnych i anonimowych jest zabronione;
- Wdrożona zostaje rygorystyczna polityka dotycząca haseł;
- Użytkownik nie wybiera sam swojego hasła, służy do tego generator haseł;
- Minimalna długość hasła to 10 znaków alfanumerycznych;
- Hasło musi być odnawiane z częstotliwością co 3 miesiące;
- Przechowywanie haseł w niezaszyfrowanych plikach, przeglądarkach internetowych czy zapisywanie ich na papierze jest zabronione;
- Obowiązkowe jest używanie lokalnego programu do zarządzania hasłami zatwierdzonego przez zespoły ds. bezpieczeństwa;
- Każdy zdalny dostęp do systemu informacyjnego OVH realizowany jest poprzez VPN wymagający wprowadzenia hasła znanego tylko użytkownikowi oraz klucza współdzielonego skonfigurowanego w stacji roboczej.
19 Zarządzanie dostępem personelu administracyjnego do platform produkcyjnych
Zobowiązania OVH jako dostawcy hostingu:
Wdrożona zostaje polityka zarządzania dostępami personelu administracyjnego do platform:
- Każdy dostęp personelu administracyjnego do systemu produkcyjnego odbywa się za pośrednictwem bastionu;
- Administratorzy łączą się z bastionami przez SSH, używając pary indywidualnych i imiennych kluczy publicznych i prywatnych;
- Połączenie z systemem docelowym jest realizowane albo przez współdzielone konto usługi albo przez konto imienne za pośrednictwem bastionów; • korzystanie z kont domyślnych w systemach i urządzeniach jest zabronione;
- Weryfikacja dwuetapowa, wraz z pełnym monitoringiem, obowiązkowa jest w przypadku zdalnych dostępów personelu administracyjnego oraz dostępów pracowników do wrażliwych obwodów;
- Administratorzy, poza standardowym kontem użytkownika, posiadają konto dedykowane wyłącznie do zadań administracyjnych;
- Uprawnienia są przyznawane i monitorowane przez menadżerów zgodnie z zasadą najmniejszego uprzywilejowania oraz zasadą stopniowego zdobywania zaufania;
- Klucze SSH są chronione hasłem spełniającym wymagania polityki bezpieczeństwa; • we współpracy z odpowiednimi służbami prowadzony jest regularny przegląd uprawnień i dostępów.
20 Kontrola dostępu do Panelu klienta
Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:
Do klienta należy zarządzanie oraz kontrola bezpieczeństwa zastosowanych przez klienta środków uwierzytelniania. Aby sprawniej zabezpieczyć dostęp do swojego konta, klienci mogą:• aktywować uwierzytelnianie dwuetapowe w Panelu klienta OVH ;• ograniczyć logowanie do określonej, uprzednio zdefiniowanej, listy adresów IP.
Zobowiązania OVH jako dostawcy hostingu:
Zarządzanie usługami OVH przez klienta ma miejsce z poziomu Panelu klienta lub API. Dostęp domyślny realizowany jest za pośrednictwem imiennego konta (identyfikator klienta) oraz hasła:
- Hasło wybrane przez klienta musi spełniać kryteria złożoności określone w interfejsie użytkownika;
- Na serwerach OVH przechowywane są jedynie skróty haseł (ang. hash);
- OVH oferuje możliwość aktywacji w Panelu klienta weryfikacji dwuetapowej z wykorzystaniem systemu jednorazowych haseł (OTP) wysyłanych w wiadomościach SMS, aplikacji mobilnej lub kompatybilnego klucza U2F.
- Klient może ograniczyć dostęp do swojego Panelu klienta tylko do wcześniej określonych adresów IP;
- Tokeny dostępu do API mogą być używane przez okres ich ważności bez potrzeby poddawania ich dodatkowym kontrolom;
- Wszystkie działania klientów w Panelu klienta lub API są rejestrowane;
- Klient może oddzielić zadania techniczne i administracyjne związane z zarządzaniem usługami.
21 Bezpieczeństwo stanowisk pracy i bezpieczeństwo sprzętu mobilnego
Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:
Do klienta należy zapewnienie bezpieczeństwa stanowisk pracy oraz sprzętu mobilnego, służących do administrowania usługami i systemami.
Zobowiązania OVH jako dostawcy hostingu:
Zabezpieczenie standardowych stanowisk roboczych
Zostały wdrożone środki bezpieczeństwa dotyczące standardowych stanowisk roboczych pracowników OVH
- Automatyczne zarządzanie aktualizacjami;
- Instalacja i aktualizacja programu antywirusowego oraz regularne skanowanie; • instalacja aplikacji pochodzących wyłącznie z zatwierdzonego katalogu;
- Systematyczne szyfrowanie dysków twardych;
- Brak uprawnień administracyjnych dla pracowników w odniesieniu do ich stanowisk roboczych;
- Procedura postępowania względem potencjalnie zagrożonego stanowiska roboczego;
- Standaryzacja sprzętu;
- Procedura usuwania sesji oraz resetowania stanowisk roboczych po odejściu pracownika z firmy.
Zabezpieczanie urządzeń mobilnych
Zostały wdrożone środki bezpieczeństwa mające na celu ochronę osobistych urządzeń mobilnych pracowników lub urządzeń dostarczonych im przez OVH:
- Obowiązkowa rejestracja urządzeń w centralnym systemie zarządzania przed łączeniem się z zasobami wewnętrznymi OVH (WiFi, poczta e-mail, kalendarze, książki adresowe, etc.);
- Weryfikacja polityki bezpieczeństwa zastosowanej w urządzeniu (kod do odblokowywania, czas, po którym następuje blokada, szyfrowanie przechowywanych treści) ;
- Procedura zdalnego czyszczenia urządzeń w przypadku kradzieży lub zgubienia.
22 Bezpieczeństwo sieci
Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:
Klient jest jako jedyny odpowiedzialny za szyfrowanie treści komunikowanych poprzez sieć OVH.
Zobowiązania OVH jako dostawcy hostingu:
OVH dysponuje swoją własną siecią światłowodów o wysokiej wydajności, połączoną z licznymi mniejszymi operatorami i operatorami Tier-1. OVH zarządza swoją własną siecią szkieletową; zapewnia ona łączność z sieciami lokalnymi każdego centrum danych i łączy ruch między nimi.
Wszystkie urządzenia są zabezpieczone przy użyciu następujących środków:
- Prowadzenie inwentarza wewnątrz bazy zarządzania konfiguracjami;
- Proces zabezpieczania systemu, zwany utwardzaniem (ang. hardening), z przewodnikami opisującymi parametry, które należy zmodyfikować w celu zapewnienia bezpiecznej konfiguracji;
- Dostęp do funkcji administratora sprzętu jest ograniczony na podstawie list kontrolnych;
- Wszystkie urządzenia administrowane są za pośrednictwem bastionu, zgodnie z zasadą najmniejszego uprzywilejowania;
- Wszystkie ustawienia sprzętu sieciowego są zachowywane w kopiach zapasowych;
- Logi są nieprzerwanie gromadzone, centralizowane i monitorowane przez zespół operacyjny zarządzający siecią;
- Wdrażanie konfiguracji jest zautomatyzowane na podstawie zatwierdzonych szablonów.
23 Zarządzanie ciągłością działania
Zobowiązania OVH jako dostawcy hostingu:
Wdrożona została polityka prowadzenia rejestrów serwerów i urządzeń używanych przez OVH do świadczenia usług:
- Wszystkie systemy oraz dane niezbędne do zapewnienia ciągłości usług, do rekonstrukcji systemu informacyjnego lub do przeprowadzenia analizy po zaistniałej awarii są zapisywane (pliki baz danych technicznych i administracyjnych, dzienniki aktywności, kody źródłowe aplikacji opracowanych wewnętrznie, ustawienia serwerów, aplikacji i sprzętu, itd.);
- Częstotliwość, czas oraz sposoby przechowywania kopii zapasowych są zdefiniowane zgodnie z potrzebami każdego zapisanego zasobu; • proces tworzenia kopii jest monitorowany i objęty systemem zarządzania ostrzeżeniami i błędami.
24 Prowadzenie rejestrów
Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:
Klient jest jako jedyny odpowiedzialny za wprowadzenie polityki rejestracji swoich własnych systemów i aplikacji.
Zobowiązania OVH jako dostawcy hostingu:
Wdrożona została polityka prowadzenia rejestrów serwerów i urządzeń używanych przez OVH do świadczenia usług:
- Kopie zapasowe i scentralizowane przechowywanie dzienników;
- Wgląd od logów oraz ich analiza przez ograniczoną liczbę upoważnionych osób zgodnie z polityką przyznawania uprawnień i zarządzania dostępami;
- Podział zadań pomiędzy zespołami odpowiedzialnymi za operacje wykonywane na infrastrukturze monitoringu oraz zespołami odpowiedzialnymi za eksploatację usługi. Poniżej lista działań objętych obowiązkiem prowadzenia rejestrów:
- Logi serwerów kopii zapasowych, na których hostowane są dane klientów;
- Logi maszyn zarządzających infrastrukturą klienta;
- Logi maszyn do monitoringu infrastruktur;
- Logi programów antywirusowych zainstalowanych na wszystkich maszynach;
- Kontrola integralności logów i systemów, jeśli dotyczy;
- Zadania i zdarzenia realizowane przez klienta w jego infrastrukturze;
- Logi i alerty o wykryciu włamania do sieci, jeśli dotyczy;
- Logi urządzeń sieciowych;
- Logi infrastruktury kamer monitorujących;
- Logi maszyn administratorów;
- Logi serwerów czasu;
- Logi czytników kart dostępu;
- Logi bastionów.